Parla il giurista Innocenzo Genna, specializzato nella normativa europea del digitale, a DigitEconomy.24, report Sole 24 Ore e Luiss Business School
Sicurezza dei dati e difesa della sovranità italiana ed europea: sono tra i problemi che si porranno nella discussione per la creazione di un polo strategico nazionale per il cloud. «Ci sono svariate esigenze che vanno studiate assieme, e serve, quindi, una mediazione. Da un lato – spiega a DigitEconomy.24, report del Sole 24 Ore e della Luiss Business School, Innocenzo Genna, giurista specializzato nella normativa europea del digitale – c’è l’esigenza della sicurezza, cioè di trovare provider che consentano ai dati strategici della pubblica amministrazione di essere sicuri da attacchi informatici o spionaggio». Dall’altro, serve «sicurezza non solo in termini di cybersecurity ma anche in termini giuridici».
Occorre fare i conti con la normativa Usa del Cloud Act e il Fisa 702
In particolare, bisogna fare i conti con il Cloud Act, una legge americana che consente ai tribunali statunitensi di avere accesso ai dati custoditi dai provider Usa anche fuori dal loro Paese, persino in server europei. C’è inoltre il Fisa 702, la normativa dell’intelligence americana che consente ai servizi di sicurezza Usa di accedere a dati stranieri senza nemmeno passare da un giudice. «È evidente – aggiunge Genna – che il Governo italiano dovrebbe selezionare solo cloud provider chiaramente esenti da questi pericoli. La strategia cloud Italia, appena annunciata, menziona tutte queste criticità, ma non spiega ancora come risolverle. Si tratta di dettagli, ma sono importanti. Il Governo pone una forte enfasi sullo strumento della cifratura dei dati che, però, è pienamente efficace solo per le fasi di deposito, ma non di elaborazione che normalmente avviene in chiaro. È probabile che si sia ancora alla ricerca di una soluzione definitiva».
La Francia consente l’uso delle tecnologie Usa a patto che non si inneschi il Cloud Act
Il tema è rilevante, tanto che i francesi lo hanno già affrontato. Oltralpe, spiega Genna, non hanno «completamente escluso l’utilizzo di tecnologie straniere, ma sostengono che il cloud provider debba avere una casa madre europea, con server situati in Europa. Poste queste garanzie, non è escluso l’utilizzo delle tecnologie americane nella misura in cui non si inneschi il Cloud Act americano, mentre ancora non si capisce come i francesi pensino di contrastare il Fisa 702». Il modello francese, «che sembra buono dal punto di vista teorico e come punto di partenza, dovrà però essere testato in pratica. Italia e Francia si parleranno sicuramente perché i rispettivi modelli appaiono simili». Tutto ruota attorno al rischio di interferenze Usa, ma non bisogna dimenticare che «la normativa americana è soggetta a una procedura simile alla nostra, i giudici americani sono indipendenti, hanno un sistema giudiziario separato dagli altri poteri, sono soggetti a norme di legge che conosciamo; è quindi un sistema, differente da altri come quello cinese, con cui possiamo dialogare ma del quale ancora non ci possiamo fidare.
«Sarebbe opportuno che l’Europa si muovesse in maniera uniforme»
Con gli Usa ci vorrà, dunque, un accordo diplomatico per regolamentare l’interferenza di giudici ed Autorità sui dati europei. Si tratta, d’altronde, di una questione anche nell’interesse degli stessi americani: se non si trova una soluzione credibile, i provider Usa perderanno l’accesso al mercato europeo». In questo scenario sarebbe opportuno che «l’Europa si muovesse in maniera uniforme». Il tema della sicurezza dei dati, peraltro, è già in cima all’agenda europea. «Con le sentenze Schrems, la Corte di giustizia europea – ricorda Genna – ha ad esempio annullato gli accordi che consentivano di trasferire i dati personali europei in America». Nel caso del cloud «c’è un problema analogo, ma più ampio, perché riguarda anche i dati non personali che però possono essere ugualmente strategici (come i dati della Pa). La Ue dovrà negoziare tutto questo, ma mentre nel caso Schrems lo sta già facendo, con il cloud siamo in ritardo, si va avanti con iniziative nazionali. Non credo – aggiunge il giurista – si possa avere un accordo quadro europeo in tempi molto brevi. In assenza di tale accordo, gli Stati europei si parleranno tra di loro, si consulteranno con Bruxelles, cercheranno di andare avanti con principi già testati da altre cancellerie. Ogni situazione è diversa. In Francia e Germania, grazie alla presenza di consolidati cloud provider nazionali (Atos, Ovh e Deutsche Telekom) in grado di ridurre il contributo extraeuropeo, i Governi si sentono fiduciosi di poter andare più veloci. In Italia la situazione appare diversa e un po’ più complicata poiché alcune grandi aziende nazionali (Tim, Leonardo) hanno fatto o annunciato accordi con operatori americani, i quali però tenderebbero a mantenere la leadership tecnologica rispetto al partner locale. Tutto questo pone un problema di sicurezza nazionale».
«Il Governo giochi un ruolo di politica industriale»
Di fronte a queste problematiche, infine, «il Governo dovrebbe giocare un ruolo di politica industriale e usare le gare per il cloud della Pa come leva per spingere l’industria italiana a essere più autonoma tecnologicamente, creando le premesse per la crescita dei cloud provider nazionali». D’ altra parte, le esigenze della Pa sono più semplici del mercato privato, quindi non vi è necessariamente bisogno degli hyperscaler americani. Difatti, francesi e tedeschi stanno usando il pubblico proprio per far crescere l’industria nazionale». In conclusione, per il polo nazionale, si potrebbero «far crescere le aziende italiane ed europee che garantirebbero al 100% la sicurezza dei dati e la tecnologia che serve». Per quanto riguarda, invece, il cloud del mercato privato «non si può impedire agli Usa di fornire servizi in Europa, ma bisognerebbe porsi il problema dello strapotere degli Usa (e dei cinesi). Occorre, quindi, anche per risolvere questo problema, far crescere l’industria nazionale ed europea attraverso a leva della spesa pubblica. Ciò vale in particolare per i fondi del Pnrr: è inconcepibile che tali fondi europei possano essere utilizzati per incrementare il divario tra la tecnologia straniera e quella europea/ nazionale».
10/9/2021
